- 공격자들은 해킹된 지갑에서 노출된 개인 키를 악용하여 승인되지 않은 토큰을 생성했습니다.
- 오프체인 토큰 생성은 복잡성을 가중시켜 합법적인 토큰과 사기성 토큰을 구별하기 어렵게 만들었습니다.
- 펌프 사이언스는 승인되지 않은 토큰을 표시하고 거래 보안을 강화하기 위해 블록에이드와 파트너십을 맺었습니다.
솔라나의 탈중앙화 과학(DeSci) 플랫폼인 펌프 사이언스는 지갑 해킹으로 인한 보안 침해를 발표했다. 이 플랫폼은 개발자의 부주의로 인해 URO 및 RIF 토큰을 생성하는 지갑의 개인 키가 노출되었다고 설명했다.
공격자들은 이 침해를 악용하여 승인되지 않은 토큰을 생성하여 사용자를 오도하고 우려를 불러일으켰다.
공격 발생 경위
이번 침해는 개발자 오류로 인해 플랫폼의 코드베이스에서 지갑의 개인 키(T5j2U…jb8sc로 식별됨)가 노출된 데서 비롯되었다.
이 지갑은 원래 개발자 지갑이 아니었지만, 펌프 사이언스 프런트엔드를 통해 키에 액세스할 수 있었기 때문에 공격자가 이를 악용할 수 있었다.
펌프 사이언스는 이 지갑에서 생성된 모든 토큰을 가짜로 확인했으며, 자신들의 팀이 생성한 것이 아니라고 강조했다. 또한 공격자들이 사기를 지속하는 데 사용한 손상된 펌프 사이언스 프로필 페이지의 정보를 신뢰하지 말 것을 사용자에게 경고했다.
펌프사이언스는 토큰 생성 기록의 오류가 문제의 원인이라고 설명했다. 플랫폼의 무료 토큰 생성 기능을 통해 $UFO 및 $RIF와 같은 유효하지 않은 토큰이 오프체인에서 생성되었다.
이 과정으로 인해 회사가 아닌 초기 구매자가 이러한 토큰의 온체인 배포자로 나타났다. 이로 인해 솔스캔이나 펌프닷펀과 같은 플랫폼에서 합법적인 토큰 발행과 사기성 토큰 발행을 구분하기가 더 어려워졌다.
펌프 사이언스는 보안 회사인 블록에이드와 협력하여 손상된 지갑에서 생성된 모든 신규 토큰에 플래그를 지정하고 있다. 또한 이러한 토큰과 관련된 거래에 경고를 표시하도록 스캔 API를 업데이트하고 있다.
펌프 사이언스는 사용자 보안에 대한 노력을 거듭 강조하며 사용자들에게 침해된 지갑에 연결된 토큰과의 상호작용을 피할 것을 권고했다. 공격자는 여전히 개인 키를 가지고 있으므로 무단 토큰 생성이 계속될 수 있다.
면책 조항: 이 가격 분석에서 공유된 모든 정보뿐만 아니라 견해와 의견은 선의로 게시됩니다. 독자는 스스로 조사하고 실사를 수행해야 합니다. 독자가 취한 모든 조치는 전적으로 본인의 책임이며 코인에디션 및 계열사는 직간접적인 피해나 손실에 대해 책임을 지지 않습니다.
